web-dev-qa-db-ja.com

オープンソースプロジェクトに提出されたバックドアの例?

すぐに分かりやすくするために、私はバックドアを書くことに興味はありません。私は自分でプロジェクトにバックドアチェンジリストを提出することに関心はありません。

私はいくつかのソースモデリング手法を研究しています。私たちは、エクスプロイトまたは悪意のあるコードが識別できるかどうかを確認することに関心があります。 gitとSubversionの履歴を使用して、モデルスナップショットがコード間の関係をキャプチャする方法を調べています。このような環境で特定のタイプのコードが外れ値として表示されるかどうかについて質問があります。

それを念頭に置いて、私はgit/cvs /のインスタンスを見つけるのに苦労していますか?バックドアを含み、送信され、ログに表示されるチェンジリストの例を含むオープンソースリポジトリ。

私たちは 初期の例としてproftpd を見ていましたが、このエクスプロイトはチェックインされず、コードの他のバージョンが変更されました。

バックドアコードを挿入する試みのオープンソースプロジェクトの改訂履歴に例はありますか?

注: これを少し前にStackOverflowに送信しました ですが、閉じられました。私は今これを再検討しており、推奨はここで尋ねることでした。ありがとう!

23
swrittenb

一部の注記 2003年頃のLinuxカーネルにバックドアを仕掛ける試みについて。どうやら失敗したようです。 現代の解説 はかなり興味深いものでした。

Linuxカーネル配布マシンは 2011年に再び侵害されました を取得しましたが、その時点ではコードが変更されていないようです。

更新:sourceforgeミラーに バックドアが組み込まれたphpMyAdminのバージョン があったようです。

15
Bruce Ediger

2010年にe107 CMSにバックドアがありました: http://www.esecurityplanet.com/headlines/article.php/3860981/Backdoor-Found-in-e107.htm

2か月前(2012年9月)phpmyadminにSourceForgeリポジトリ/ミラーの1つからのバックドアがありました: http://sourceforge.net/blog/phpmyadmin-back-door/

2000年にOpenBSDのIPSECスタックをバックドアしたとされるFBI: http://bsd.slashdot.org/story/10/12/15/004235/FBI-Alleged-To-Have-Backdoored-OpenBSDs-IPSEC-Stack

オープンソースにはクローズドソースに比べて多くの利点がありますが、これはオープンソースプロジェクトがその性質上安全であることを意味するものではありません。継続的な侵入テストは必須です。

9
sh4d0w

FOSDEM 2014基調講演Poul-Henning Kamp による(ワニスおよびNtimedリードアーキテクト)は非常に興味深いです。

これは架空のものですNSA私がFOSDEM 2014で閉会の基調講演として提供したブリーフィング

その意図は人々を笑わせたり考えさせたりすることでしたが、私はだれかにそれが真実でないことを証明するように挑戦します。

それはすべてフィクションですが、オープンソースプロジェクトでの豊富な経験を持つ誰かによるフィクションです。

こちらが 45分のビデオ です。

そして、CloudFlareのブログに NSA(可能性があります)RSAの暗号化にバックドアを追加する方法:技術入門 があります。

1
kqw

ほとんどのオープンソースプロジェクトが持つ最大の保護は、だれがアクセスできるかだけだと思います。一般に、誰もがコードをプロジェクトにコミットできるわけではないため、コミットアクセス権を付与されたユーザーは、その方法を妥協しようとする価値がないほど十分にアクティブになる傾向があります。 (ソースが利用できるので、既存のエクスプロイトを見つけようとするだけの方が簡単です。)悪意のあるコミットを作ろうとしたとしても、多大な労力を費やして、不正なコミットが発生する可能性がかなりあります。メジャーリリースに到達する前に他のユーザーによって検出されたため、プロジェクトから身を焼き、行ったすべての作業をあきらめました。

基本的に、難易度は高く、報酬の可能性は低いので、オープンソースプロジェクトを悪意を持って侵害しようとする価値はありません。 (リスク対報酬の観点から)試みられたと思われる場所の1つは、政府がそれを行おうとしていることですが、その場合は、少なくともある程度のプロジェクトのサポートがあり、慎重に隠されます。また、ほとんどのソフトウェアで最終的な検出なしに行うことは非常に難しいため、それでもそれはほとんどありません。

0
AJ Henderson